FatalRAT tem como alvo usuários de criptomoeda com técnicas de carregamento lateral de DLL

Os pesquisadores descobriram uma sofisticada campanha de phishing meticulosamente elaborada para atingir usuários de criptomoedas. Este esquema elaborado, equipado com o notório FatalRAT junto com malware complementar como Clipper e Keylogger, foi orquestrado por agentes de ameaças utilizando técnicas de carregamento lateral de DLL.

O FatalRAT, conhecido como Trojan de acesso remoto, concede aos invasores controle sobre os sistemas das vítimas, facilitando o roubo de informações confidenciais .

A inclusão estratégica nesta campanha de um módulo clipper ao lado do FatalRAT sugere uma abordagem direcionada aos usuários de criptomoedas, ampliando as capacidades de interceptação de dados com a adição de um módulo keylogger.

A campanha de phishing FatalRAT

A campanha de phishing FatalRAT teve como alvo principalmente indivíduos ou organizações de língua chinesa, o que é evidente pelo uso de instaladores de língua chinesa. O esforço de phishing tinha uma notável semelhança com a interface da carteira de criptomoedas Exodus, projetada para atrair usuários desavisados ​​a divulgar informações confidenciais .

De acordo com o Cyble Research and Intelligence Labs (CRIL) , uma vez que os usuários foram vítimas do site enganoso e baixaram os instaladores falsificados do Exodus, eles instalaram involuntariamente o FatalRAT, o Clipper e o Keylogger. Empregando táticas de carregamento lateral de DLL, os invasores escaparam da detecção , executando perfeitamente suas cargas maliciosas.

Após a instalação, o instalador Trojanized Exodus concedeu aos invasores acesso não autorizado, permitindo-lhes roubar informações clandestinamente, manipular dados e interceptar transações. Essa operação, ampliada pela tática diversiva de instalação em primeiro plano, garantiu que os usuários permanecessem inconscientes das atividades maliciosas que se desenrolavam em segundo plano.

Análise Técnica da Campanha FatalRAT

A análise técnica revelou um ataque em vários estágios que se desenrolava com precisão, colocando arquivos em diretórios designados e utilizando carregamento lateral de DLL para executar cargas discretamente. O FatalRAT, equipado com recursos que vão desde registro de teclas digitadas até roubo de dados, se assemelhava muito às variantes anteriores identificadas por especialistas em segurança.

O módulo clipper, incorporado ao esquema de phishing, monitorou a atividade da área de transferência, interceptando endereços de criptomoedas e substituindo-os por endereços de carteiras maliciosas controladas pelos atores de ameaças. Enquanto isso, o módulo keylogger operava de forma independente, registrando as teclas digitadas e eventos do sistema para posterior exfiltração.

A atribuição sugere o envolvimento de um grupo por trás de campanhas anteriores, evidenciado por semelhanças na cadeia de infecção, nomes de arquivos e estratégias de direcionamento. O foco da campanha nos indivíduos chineses e no padrão dos servidores C&C reforça ainda mais esta especulação.

Além disso, o aumento na popularidade das criptomoedas tornou os usuários os principais alvos dos cibercriminosos. Com a fusão do FatalRAT e módulos clipper dedicados, os invasores podem explorar vulnerabilidades em transações de criptomoeda, tornando-se uma ameaça gigantesca para usuários de criptografia. 

Isenção de responsabilidade da mídia: Este relatório é baseado em pesquisas internas e externas obtidas por diversos meios. As informações fornecidas são apenas para fins de referência e os usuários assumem total responsabilidade por confiar nelas. O Portal PluggedNinja não assume qualquer responsabilidade pela exatidão ou consequências do uso destas informações.

Autor: Ashish Khaitan